OpenAI warnt: Vollständiger Codex-Zugriff kann zu Datenverlust führen – So nutzen Sie den Sandbox-Modus sicher
Der Codex-Programmierassistent von OpenAI kann Dateien lesen, Code-Repositories bearbeiten, Befehle ausführen und mit Entwicklungstools auf dem Benutzerrechner interagieren. Diese Funktionen machen ihn bei langwierigen Engineering-Aufgaben sehr nützlich, bedeuten aber auch, dass seine Sicherheit weitgehend von den vom Benutzer festgelegten Berechtigungen und Sandbox-Grenzen abhängt. Laut AIBase hat OpenAI eine kleine Anzahl von Vorfällen untersucht, bei denen Codex Dateien im Benutzerverzeichnis gelöscht hat. Der Bericht stellt fest, dass die betroffenen Betriebssitzungen in einem Zustand waren,

OpenAI warnt: Vollzugriff von Codex kann zu Datenverlust führen
Einleitung
Der Codex-Coding-Agent von OpenAI kann Dateien lesen, Code-Repositories bearbeiten, Befehle ausführen und mit Entwicklungstools auf dem Benutzerrechner interagieren. Diese Funktionen machen ihn für langfristige Engineering-Arbeiten geeignet, bedeuten aber auch, dass seine Sicherheit weitgehend von den vom Benutzer gewählten Berechtigungen und Sandbox-Grenzen abhängt.
Laut AIBase hat OpenAI eine kleine Anzahl von Fällen untersucht, in denen Codex Dateien aus dem Benutzerverzeichnis gelöscht hat. Dem Bericht zufolge liefen die betroffenen Sitzungen mit aktiviertem Vollzugriff und ohne Sandbox-Schutz.
Die technische Erklärung von AIBase betrifft eine fehlerhafte Interaktion zwischen der Logik des temporären Verzeichnisses und der Umgebungsvariablen $HOME. OpenAI hat noch keinen öffentlichen Post-Mortem-Bericht veröffentlicht, der diesen genauen Prozess bestätigt.
Was OpenAI öffentlich bestätigt hat, ist umfassender und dennoch wichtig: Die offizielle Codex-Dokumentation warnt davor, dass der Vollzugriff die Projektverzeichnisgrenzen aufhebt und zu unbeabsichtigten zerstörerischen Operationen führen kann, die Datenverlust verursachen.
Daher lautet die direkte Empfehlung: Beschränken Sie Codex auf einen Sandbox-Arbeitsbereich, es sei denn, Sie benötigen wirklich uneingeschränkten Zugriff und sind durch eine zusätzliche Isolationsebene geschützt.

Worum es bei dem gemeldeten Dateilöschproblem geht
Der bereitgestellte AIBase-Bericht beschreibt das Problem als unter einer bestimmten Kombination von Einstellungen auftretend:
- Codex wurde voller Zugriff auf die lokale Maschine gewährt.
- Die Sandbox-Grenzen wurden deaktiviert.
- Die Genehmigungs- oder automatischen Überprüfungsmechanismen waren nicht aktiviert.
- Die Aufgabe versuchte, ein temporäres Arbeitsverzeichnis zu erstellen oder zu verwenden.
- Ein Fehler im Zusammenhang mit der Umgebungsvariablen
$HOMEführte angeblich dazu, dass das Benutzerverzeichnis als Löschziel betrachtet wurde.
Auf macOS und Linux zeigt $HOME normalerweise auf das Hauptverzeichnis des aktuellen Benutzers. Dieses Verzeichnis kann Folgendes enthalten:
- Desktop- und Dokumentenordner.
- Quellcode-Repositories.
- SSH-Konfiguration und -Schlüssel.
- Anwendungseinstellungen.
- Shell-Konfigurationsdateien.
- Lokale Datenbanken.
- Persönliche Dateien.
- Cloud-Synchronisationsordner.
Daher könnte eine rekursive Löschung, die auf einen falschen Pfad abzielt, weit mehr als nur das aktuell aktive Projekt betreffen.
Was die offizielle Warnung von OpenAI besagt
Die aktuelle Windows-Sandbox-Dokumentation von OpenAI weist darauf hin, dass das Ausführen von Codex mit Vollzugriff bedeutet, dass der Agent nicht mehr auf das Projektverzeichnis beschränkt ist. Er könnte unbeabsichtigte zerstörerische Operationen durchführen, die zu Datenverlust führen.
Die Berechtigungsdokumentation von OpenAI definiert drei integrierte Berechtigungsprofile:
| Berechtigungsprofil | Dateisystemverhalten | Anwendungsszenario |
|---|---|---|
:read-only |
Lokale Befehlsausführung bleibt schreibgeschützt | Repository-Überprüfung, Planung und Review |
:workspace |
Erlaubt Schreiben im Stammverzeichnis des aktiven Arbeitsbereichs und im System-Temp-Verzeichnis | Regelmäßige Codierung und Repository-Wartung |
:danger-full-access |
Entfernt lokale Sandbox-Beschränkungen | Nur bei beabsichtigter und separat isolierter Nutzung von uneingeschränktem Zugriff |
Die offizielle Dokumentation beschreibt außerdem
Die folgenden Modi gelten als risikoreich:
codex --dangerously-bypass-approvals-and-sandbox
Durch Alias kann dasselbe Verhalten erreicht werden:
codex --yolo
Diese Befehle deaktivieren sowohl die Sandbox als auch die Genehmigungsaufforderungen. Sie werden hier aufgeführt, damit Benutzer diese gefährliche Konfiguration erkennen und vermeiden können, nicht zur Verwendung empfohlen.
OpenAI kennzeichnet diesen Modus als sandboxlos, genehmigungslos und empfiehlt ihn nicht für den normalen Gebrauch.
Warum Vollzugriff das Risikoniveau drastisch verändert
Coding-Agenten schlagen nicht nur Befehle vor. Im lokalen Agentenmodus können sie diese Befehle direkt ausführen.
Bei Verwendung der Workspace-Sandbox schränken das Betriebssystem und die Codex-Richtlinien den Schreibbereich von Befehlen ein. Ein fehlerhafter Befehl kann zwar das aktuelle Projekt beschädigen, sollte aber nicht wahllos andere Verzeichnisse verändern.
Bei aktiviertem Vollzugriff gibt es keine technischen Grenzen mehr. Das Modell und seine Shell-Befehle können möglicherweise auf Folgendes zugreifen:
- Das gesamte Benutzerverzeichnis.
- Andere Code-Repositories.
- Eingehängte Datenträger.
- Cloud-Synchronisationsordner.
- Anmeldeinformationsdateien.
- Paketmanager-Konfigurationen.
- Lokale Anwendungsdaten.
- Externe Tools, auf die das Benutzerkonto zugreifen kann.
Deshalb reicht die reine Formulierung einer Aufforderung nicht als Kontrollmittel aus. Dem Agenten zu sagen "bearbeite nur diesen Ordner" ist eine Verhaltensanweisung, während die Sandbox die durchgesetzte Grenze ist.
OpenAI betrachtet Sandbox und Genehmigung als komplementäre Kontrollmaßnahmen:
- Sandbox bestimmt, worauf der Agent technisch zugreifen kann.
- Genehmigungsrichtlinie bestimmt, wann der Agent anhalten und um Erlaubnis bitten muss.
Das Entfernen beider Kontrollen stellt die höchste Risikokonfiguration dar.
Genehmigungsaufforderungen und automatische Überprüfung sind kein Ersatz für eine Sandbox
Genehmigungsaufforderungen können Risiken vor der Ausführung gefährlicher Operationen abfangen, ersetzen jedoch keine Dateisystemisolierung.
Benutzer könnten fehlerhafte Befehle genehmigen. Automatische Prüfer können auch nur Operationen bewerten, die über das Genehmigungssystem weitergeleitet werden.
Die OpenAI-Dokumentation erläutert, dass die automatische Überprüfung eine Risikoanalyse für qualifizierte Genehmigungsanfragen durchführt, einschließlich zerstörerischer Operationen, Zugriff auf Anmeldeinformationen, Datendiebstahl und dauerhafte Sicherheitsschwächung.
Eine typische automatische Überprüfungskonfiguration ist:
approval_policy = "on-request"
approvals_reviewer = "auto_review"
Dies reduziert die Genehmigungsmüdigkeit, während die Überprüfungsebene erhalten bleibt.
Wenn Codex jedoch im Modus gestartet wird, der Genehmigungen und Sandbox umgeht, hat der Prüfer möglicherweise keine Berechtigungsgrenzen, die er durchsetzen kann.
Sicherere Modi sind:
- Workspace-Sandbox aktiviert lassen.
- Genehmigung auf Anfrage oder automatische Überprüfung verwenden.
- Nur bei Bedarf eng gefasste Ausnahmen hinzufügen.
- Uneingeschränkten Zugriff auf dem Host vermeiden.
Von OpenAI empfohlener Standardmodus
OpenAI empfiehlt unterschiedliche Standardeinstellungen basierend darauf, ob das Arbeitsverzeichnis versioniert ist:
- Versionierte Ordner: Workspace-Schreiben + Genehmigung auf Anfrage.
- Nicht versionierte Ordner: Nur-Lese-Modus.
Für reguläre Repositories lautet der explizite CLI-Befehl:
codex --sandbox workspace-write --ask-for-approval on-request
Nur zur Überprüfung, ohne Dateien zu bearbeiten:
codex --sandbox read-only --ask-for-approval
### Genehmigung auf Anfrage
Diese Einstellungen beschränken Codex auf definierte Ausführungsgrenzen, während der Benutzer spezielle Operationen genehmigen kann.
OpenAI dokumentiert auch einen Kompromiss für unbeaufsichtigte Aufgaben. Die Genehmigungsaufforderung kann deaktiviert werden, während die Sandbox aktiv bleibt:
```bash
codex --sandbox workspace-write --ask-for-approval never
In diesem Modus führt Codex Aufgaben im Rahmen der Workspace-Beschränkungen bestmöglich aus, ohne um Berechtigungen für grenzüberschreitende Operationen zu bitten. Dies ist wesentlich sicherer als die gleichzeitige Deaktivierung von Genehmigung und Sandbox.
So deaktivieren Sie den Vollzugriff in Codex
In der ChatGPT-Desktop-App, der Codex-CLI und den IDE-Integrationen unterscheiden sich die spezifischen Kontrollen geringfügig, das Prinzip ist jedoch dasselbe.
Schritt 1: Zugriffskontrolle öffnen
Öffnen Sie in der Desktop- oder IDE-Oberfläche den Berechtigungsauswähler in der Nähe des Prompt-Editors.
Wählen Sie den Workspace-Beschränkungsmodus oder den Standardsandbox-Modus anstelle von Vollzugriff.
Schritt 2: Verwenden Sie Workspace-Zugriff für die normale Codierung
Wählen Sie einen Modus, der Codex nur das Schreiben innerhalb des aktiven Projekts oder Workspace-Stammverzeichnisses erlaubt.
Verwenden Sie in der CLI:
codex --sandbox workspace-write --ask-for-approval on-request
Schritt 3: Verwenden Sie den Nur-Lese-Modus für die Erstüberprüfung
Wenn Sie ein unbekanntes Repository öffnen, verwenden Sie zunächst:
codex --sandbox read-only --ask-for-approval on-request
Lassen Sie Codex den Code überprüfen und Vorschläge machen, bevor Sie Schreibzugriff gewähren.
Schritt 4: Aktuelle Grenzen bestätigen
In Codex
Verwenden Sie das Status- oder Berechtigungsfenster, um zu bestätigen, welche Verzeichnisse als beschreibbare Arbeitsbereichs-Stammverzeichnisse betrachtet werden.
Gehen Sie nicht davon aus, dass der im Editor angezeigte Ordner das einzige Verzeichnis ist, auf das der Agent zugreifen kann.
Schritt 5: Genehmigung für überschreitende Aktionen aktiviert lassen
Verwenden Sie bei Befehlen, die zusätzliche Zugriffsrechte erfordern, eine bedarfsgerechte Genehmigung.
Um Reibungsverluste im Arbeitsablauf zu verringern, sollten Sie eine automatische Überprüfung in Betracht ziehen, anstatt die Genehmigung vollständig abzuschaffen.
Schritt 6: Bestehende Sitzungen mit uneingeschränktem Zugriff neu starten
Durch das Ändern von Konfigurationsdateien können laufende Prozesse möglicherweise nicht rückwirkend eingeschränkt werden.
Gehen Sie nach dem Ändern der Einstellungen wie folgt vor:
- Beenden Sie die aktuelle Codex-Sitzung.
- Bestätigen Sie die Konfiguration.
- Starten Sie Codex aus dem gewünschten Projektverzeichnis neu.
- Überprüfen Sie die aktuellen Berechtigungen erneut, bevor Sie fortfahren.
Sicherere config.toml-Einstellungen
Codex unterstützt die Konfiguration über den folgenden Pfad:
~/.codex/config.toml
Für ein bereits eingerichtetes Sandbox-Konfigurationssystem lauten die sichereren Standardeinstellungen:
approval_policy = "on-request"
sandbox_mode = "workspace-write"
Eine strengere Überprüfungskonfiguration lautet:
approval_policy = "on-request"
sandbox_mode = "read-only"
Eine automatische Überprüfung kann hinzugefügt werden, ohne die Sandbox zu entfernen:
approval_policy = "on-request"
sandbox_mode = "workspace-write"
approvals_reviewer = "auto_review"
OpenAI dokumentiert das Berechtigungsprofil-System auch als neueres, Beta-Konfigurationssystem. Eine einfache Arbeitsbereichskonfiguration wäre:
default_permissions = ":workspace"
Eine schreibgeschützte Standardkonfiguration wäre:
default_permissions = ":read-only"
Konfigurationswarnung: OpenAI weist darauf hin, dass das neuere Berechtigungsprofil-System nicht mit der älteren
sandbox_mode-Einstellung kompatibel ist. Konfigurieren Sie nur eines der beiden Systeme.
Andernfalls: Platzieren Sie niemals beide Methoden in derselben aktiven Konfiguration und erwarten Sie, dass sie sich automatisch kombinieren.
Beispiel: Schreibzugriff auf Arbeitsbereich einschränken und .env-Dateien verbieten
Für Benutzer, die das Betasystem des Berechtigungsprofils testen, bietet OpenAI benutzerdefinierte Richtlinien zur Erweiterung der integrierten Arbeitsbereichsgrenzen.
Eine Projekt-Bearbeitungskonfigurationsdatei kann den Zugriff auf Umgebungsdateien verbieten, während der Arbeitsbereich beschreibbar bleibt:
default_permissions = "project-edit"
[permissions.project-edit]
extends = ":workspace"
[permissions.project-edit.filesystem.":workspace_roots"]
"**/*.env" = "deny"
[permissions.project-edit.network]
enabled = false
Diese Richtlinie:
- Hält normale Projektdateien beschreibbar.
- Bewahrt die integrierten Arbeitsbereichsschutzmechanismen.
- Verbietet den Zugriff auf passende
.env-Dateien. - Deaktiviert den Netzwerkzugriff für Befehle.
Für viele lokale Codierungsaufgaben ist dies ein besserer Ausgangspunkt, als weitreichende Zugriffe auf die gesamte Maschine zu gewähren.
Unternehmenskontrollen zur Verhinderung von uneingeschränktem Zugriff
Organisationen können verwaltete Anforderungen verwenden, um zu verhindern, dass Benutzer den uneingeschränkten Sandbox-Modus wählen.
OpenAI zeigt eine Zulassungsliste ähnlich der folgenden:
allowed_sandbox_modes = ["read-only", "workspace-write"]
Dies verhindert, dass der uneingeschränkte Zugriff in einer verwalteten Umgebung als verfügbare Sandbox-Option erscheint.
Das neuere Berechtigungsprofil-System kann ebenfalls zentral eingeschränkt werden. Administratoren können genehmigte Profile definieren und :danger-full-access aus der erlaubten Sammlung ausschließen.
Dies ist nützlich, da Sicherheitsrichtlinien nicht vollständig davon abhängen sollten, dass sich jeder Entwickler daran erinnert, den richtigen Modus auszuwählen.
Sichererer Arbeitsablauf für alltägliche Code-Operationen
Ein praktischer Arbeitsablauf bewahrt einen Großteil der Geschwindigkeit von Codex, ohne das gesamte Host-System freizugeben.
1. In dedizierten Repositories arbeiten
Starten Sie Codex aus dem Projektverzeichnis (nicht aus dem Home-Verzeichnis oder einem übergeordneten Ordner, der nicht zusammenhängende Projekte enthält).
Vermeiden Sie breite Pfade wie:
~
oder:
/
als aktiven Arbeitsbereich.
2. Versionskontrolle vor der Delegierung verwenden
OpenAI empfiehlt, Funktions-Branches zu verwenden und git status sauber zu halten, bevor Sie die Arbeit an Codex übergeben.
Ein einfacher Vorbereitungsablauf ist:
git status
git switch -c codex/Aufgabenname
git add -A
git commit -m "Checkpoint vor Codex-Aufgabe"
Passen Sie Branchnamen und Commit-Nachrichten an das Projekt an.
3. Häufig committen
Kleine Commits erleichtern die Überprüfung und das Rückgängigmachen einzelner Änderungen.
Erstellen Sie nicht erst am Ende einer langen, autonomen Sitzung Ihren ersten wiederherstellbaren Checkpoint.
4. Befehle und Diffs überprüfen
Behandeln Sie die Codex-Ausgabe wie einen Pull-Request:
- Überprüfen Sie die vorgeschlagenen Befehle.
- Überprüfen Sie die Datei-Diffs.
- Führen Sie Tests aus.
- Bestätigen Sie die Änderungspfade.
- Prüfen Sie auf unbeabsichtigte Löschungen.
- Dokumentieren Sie wichtige Entscheidungen.
5. Worktrees oder Container für riskante Aufgaben verwenden
Isolieren Sie den Agenten bei großen Refactorings, Abhängigkeitsexperimenten, Build-System-Änderungen oder Bereinigungsaufgaben weiter.
Optionen umfassen:
- Git Worktrees.
- Einweg-VMs.
- Entwicklungscontainer.
- Docker-Container.
- Temporäre Entwicklungskonten mit eingeschränkten Berechtigungen.
OpenAI bietet ein Beispiel für einen sicheren Entwicklungscontainer, geeignet für Fälle, in denen Container konzipiert sind für...
Externe Isolationsgrenzen.
6. Backups außerhalb der Reichweite des Agenten aufbewahren
Versionskontrolle schützt verfolgte Repository-Dateien, aber nicht alle Dateien auf dem Computer.
Verwenden Sie ein Backup-System, das von Codex nicht über dasselbe Benutzerkonto oder eingehängte Dateisysteme geändert werden kann. Beispiele sind Offline-Backups, unveränderliche Snapshots oder Remote-Backup-Dienste, die die Versionshistorie unterstützen.
Maßnahmen nach versehentlichem Löschen
Wenn eine Datei gerade gelöscht wurde, können nachfolgende Schreibvorgänge wiederherstellbare Speicherblöcke überschreiben.
Ergreifen Sie die folgenden Vorsichtsmaßnahmen:
- Stoppen Sie die Codex-Sitzung sofort.
- Stoppen Sie Build-Tools, Paketmanager, Synchronisationsclients und andere Prozesse, die auf den betroffenen Datenträger schreiben.
- Installieren Sie keine Software auf dem betroffenen Laufwerk neu.
- Überprüfen Sie den Git-Verlauf, Worktrees, den lokalen Editor-Verlauf, Snapshots und die Cloud-Versionshistorie.
- Stellen Sie nach Möglichkeit von einem bekanntermaßen intakten Backup wieder her.
- Ziehen Sie bei unersetzlichen Daten professionelle Datenwiederherstellungsdienste in Betracht, bevor Sie sich an wiederholten DIY-Wiederherstellungsversuchen versuchen.
Beginnen Sie für verfolgten Quellcode mit einer nicht-destruktiven Prüfung:
git status
git diff
git log --oneline --all
Führen Sie keine destruktiven Git-Wiederherstellungsbefehle aus, bevor Sie bestätigt haben, welche Dateien und Commits noch verfügbar sind.
Was OpenAI verbessert
AIBase berichtet, dass OpenAI die Warnhinweise zum uneingeschränkten Zugriff aktualisiert und die Schutzmaßnahmen verstärkt, während detailliertere Ereignisanalyseberichte vorbereitet werden.
Die aktuellen öffentlichen Dokumente von OpenAI enthalten bereits deutliche Warnungen, dass uneingeschränkter Zugriff zu Datenverlust führen kann, und empfehlen gleichzeitig die Verwendung von Sandbox-Grenzen, strengen Ausnahmerichtlinien, Genehmigungsprozessen, Berechtigungsprofilen, Versionskontroll-Checkpoints und isolierten Entwicklungsumgebungen.
Zum Zeitpunkt der Erstellung dieses Artikels gibt es noch keinen offiziellen öffentlichen Post-Mortem-Bericht zu diesem genauen Ereignis bezüglich des Löschmechanismus im $HOME-Verzeichnis.
Dies bedeutet, dass sich Benutzer auf die derzeit verfügbaren Kontrollen verlassen sollten, anstatt auf zukünftige Erklärungen zu warten:
- Aktivieren Sie den uneingeschränkten Zugriff nicht standardmäßig.
- Halten Sie die Projektgrenzen ein.
- Behalten Sie die Genehmigung für eskalierte Aktionen bei.
- Verwenden Sie Versionskontrolle und Backups.
- Isolieren Sie risikoreiche Automatisierungsvorgänge.
Wichtige Unterscheidungen
Modellfehler sind nicht das einzige Risiko
Zerstörerisches Verhalten kann aus mehreren Ebenen resultieren:
- Das Modell hat einen unsicheren Befehl gewählt.
- Variablen wurden zu unerwarteten Pfaden expandiert.
- Die Shell hat Anführungszeichen falsch interpretiert.
Das Bereinigungsskript zeigt auf das falsche Verzeichnis.
- Das Tool wurde aus einem unerwarteten Arbeitsverzeichnis ausgeführt.
- Der Benutzer hat den Befehl ohne Prüfung genehmigt.
- Die Sandbox wurde deaktiviert.
Daher kann die Sicherheit nicht allein auf der Modellgenauigkeit beruhen.
Die meisten Programmieraufgaben erfordern keinen vollständigen Zugriff
Regelmäßige Bearbeitungen, Tests, Suchvorgänge und lokale Befehlsausführungen können in der Regel innerhalb der Arbeitsbereichsgrenzen durchgeführt werden.
Wenn eine Aufgabe zusätzlichen Zugriff auf ein bestimmtes Verzeichnis oder Netzwerkziel erfordert, empfiehlt es sich, präzise Ausnahmen hinzuzufügen, anstatt das gesamte System freizugeben.
Automatische Überprüfungen reduzieren Reibungsverluste, ändern aber nichts an den Konsequenzen
Automatische Überprüfungen helfen bei der Kategorisierung von Genehmigungsanfragen, können jedoch eine uneingeschränkte Ausführung nicht unschädlich machen.
Die Sandbox bleibt der stärkste lokale Kontrollmechanismus, da sie die ausführbaren Aktionen eines Befehls einschränkt, selbst wenn der Befehl selbst fehlerhaft ist.
Häufige Fragen
Kann Codex von
meinem Computer aus auf Dateien zugreifen?
Wenn Codex Schreibberechtigung hat, kann es Dateien bearbeiten und löschen. Im Arbeitsbereichsmodus sind diese Aktionen auf das konfigurierte schreibbare Stammverzeichnis beschränkt; im Vollzugriffsmodus werden die lokalen Sandbox-Einschränkungen aufgehoben, was die potenziellen Auswirkungen fehlerhafter Befehle erhöht.
Hat OpenAI die genaue $HOME-Löschlücke bestätigt?
Der bereitgestellte AIBase-Bericht führt diese Interpretation auf die Untersuchung von OpenAI zurück. OpenAIs öffentliche Dokumentation bestätigt ein breiteres Risiko von Datenverlust bei Vollzugriff, aber zum 17. Juli 2026 gibt es keine öffentliche technische Post-Mortem-Analyse, die den genauen $HOME-Mechanismus bestätigt.
Was ist der sicherste Berechtigungsmodus für Codex?
Wenn Codex nur das Repository überprüfen muss, verwenden Sie den :read-only-Modus. Für die normale Programmierung bieten der :workspace- oder workspace-write-Modus mit bedarfsgerechter Genehmigung eine praktische Balance zwischen Produktivität und Sicherheitskontrolle.
Ist die Verwendung von --yolo sicher?
--yolo ist ein Alias, um Genehmigungen und die Sandbox zu umgehen. OpenAI beschreibt es als risikoreichen Modus ohne Sandbox und ohne Genehmigung, daher sollte es nicht auf regulären Hosts mit wichtigen Dateien verwendet werden.
Kann Codex automatisch ohne Genehmigungsaufforderung ausgeführt werden und gleichzeitig die Sandbox-Umgebung beibehalten?
Ja. Die OpenAI-Dokumentation gibt an, dass --ask-for-approval never mit dem Sandbox-Modus kompatibel ist. Zum Beispiel vermeidet codex --sandbox workspace-write --ask-for-approval never interaktive Genehmigungsaufforderungen, während die Arbeitsbereichsgrenzen eingehalten werden.
Kann Git mich vor allen Arten von Codex-Datenverlust schützen?
Nein. Git kann getrackte und committete Repository-Dateien wiederherstellen, aber nicht automatisch nicht getrackte Dateien, Anmeldeinformationen, persönliche Dokumente, externe Datenbanken oder nicht zusammenhängende Ordner schützen. Verwenden Sie für alle Daten, die nicht sicher in der Versionskontrolle gespeichert sind, eine unabhängige Backup-Lösung.
Können automatische Überprüfungen die Sandbox ersetzen?
Nein. Automatische Überprüfungen bewerten genehmigungsfähige Anfragen, während die Sandbox die Dateisystem- und Netzwerkgrenzen durchsetzt. Wo möglich, sollten beide Kontrollen beibehalten werden, anstatt eine als Ersatz für die andere zu betrachten.
Sollte ich den Vollzugriffsmodus innerhalb eines Containers verwenden?
Dies ist sinnvoll, wenn der Container oder die virtuelle Maschine bewusst als externe Sicherheitsgrenze konzipiert ist und keine sensiblen bereitgestellten Daten enthält. Überprüfen Sie sorgfältig Einhängepunkte, Anmeldeinformationen, Netzwerkzugriff und Host-Integration, da der Vollzugriffsmodus dennoch alles, was in dieser Umgebung zugänglich ist, beschädigen oder preisgeben kann.
Verwandte Werkzeuge
- Codex CLI: Der lokale Befehlszeilen-Coding-Agent von OpenAI für Repository-Arbeiten und Automatisierung.
- Codex Permissions: Offizielle Dokumentation der Lese-, Arbeitsbereichs- und Vollzugriffsmodi.
- Codex Sandbox: Erklärt, wie Dateisystem- und Netzwerkgrenzen durchgesetzt werden.
- Codex GitHub Repository: Das offizielle Open-Source-Repository der Codex CLI.
- Visual Studio Code Dev Containers: Ausführung von Entwicklungsworkflows in isolierten Container-Umgebungen.
- Git: Bietet Versionshistorie, Branches, Diffs und Rollbacks für getrackte Quelldateien.
Verwandte Links
Agent Approvals and Security: Offizieller Leitfaden zu Sandbox-Modi, Genehmigungsstrategien, automatischen Überprüfungen und gefährlichen Einstellungen.
- Codex Permissions: Offizielle Referenz für Profile mit minimalen Berechtigungen.
- Codex Sandboxing: Erklärt Projektgrenzen und Sandbox-Verhalten auf allen Codex-Plattformen.
- Windows Sandbox for Codex: Enthält ausdrückliche Warnungen von OpenAI: Vollzugriff kann zu zerstörerischen Aktionen und Datenverlust führen.
- Running Codex Safely at OpenAI: Beschreibt die internen Kontrollmechanismen von OpenAI für eingeschränkte Ausführung und Überprüfung.
- Codex CLI Documentation: Offizielle Installations- und lokale Nutzungsanweisungen.
- OpenAI Codex GitHub Repository: Quellcode, Fehlerberichte, Sicherheitsrichtlinien und Versionsinformationen.
Zusammenfassung
Der gemeldete Codex-Dateilöschvorfall ereignete sich unter den höchsten Risikobedingungen: Vollzugriff ohne Sandbox-Grenzen. AIBase beschreibt einen mutmaßlichen, mit $HOME zusammenhängenden Bereinigungsfehler, während die öffentliche Dokumentation von OpenAI eine breitere Tatsache bestätigt: Unbeschränkter Zugriff kann zu unbeabsichtigten zerstörerischen Aktionen und Datenverlust führen.
Für die meisten Entwickler erfordert die normale Arbeit an Code-Repositorys keinen vollständigen Zugriff. Eingeschränktes Schreiben im Arbeitsbereich, bedarfsgerechte Genehmigungen, Versionskontroll-Checkpoints und isolierte Umgebungen bieten eine sicherere Betriebsweise, ohne die Kerncodierungsfähigkeiten von Codex zu beeinträchtigen.
Beim Ausführen unbeaufsichtigter Aufgaben können Benutzer die Genehmigungsaufforderungen deaktivieren, während die Sandbox des Arbeitsbereichs erhalten bleibt. Dies ist viel sicherer, als beide Schutzschichten zu umgehen.
Die praktische Regel ist einfach: Gewähren Sie Codex nur Zugriff auf die Projekte, die es benötigt, nicht auf die gesamte Maschine.